NIS2 Richtlinie – für die Sicherheit von Netzwerk- und Informationssystemen
NIS2 ist eine zweite Iteration einer Richtlinie der EU, die sich mit der Network & Information Security beschäftigt. Hierzu wird von der EU vorgegeben, dass betroffene Unternehmen einen angemessenen Standard an Cybersicherheit (IT & Informationssicherheit) einhalten müssen. Bei Nichteinhaltung drohen Bußgelder, für die eine persönliche Haftung von Führungskräften festgelegt ist.
Die NIS2 Richtlinie ist bis zum Oktober 2024 umzusetzen.
Wichtig: Die Betroffenheit muss selbst ermittelt werden! Es wird hier keine Aufforderung oder Anmerkung von öffentlichen Stellen geben.
Wer ist betroffen?
Energie
Verkehr
Finanzen
Gesundheit
Trinkwasser/ Abwasser
Digitale Infrastruktur, Digitale Anbieter
IKT-Dienstleistungsmanagement
Weltraum
Post- und Kurierdienste
Abfallwirtschaft
Herstellung, Produktion und Vertrieb von Chemikalien
Lebensmittelproduktion, -verarbeitung und – vertrieb
Herstellung, Produktion von Medizinprodukten, Maschinen, Fahrzeugen sowie elektronischen Geräten
Forschung
Was müssen Sie tun?
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
- Bewältigung von Sicherheitsvorfällen;
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
- grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
- Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Welche Konsequenzen drohen bei Nichteinhaltung?
Für wesentliche Einrichtungen betragen die Bußgelder 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes, für wichtige Einrichtungen sind die Bußgelder auf 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes gedeckelt. Es wird bei den Unterscheidungen ob Fixbetrag oder Anteil des Umsatzes der jeweils größere Betrag angesetzt!
Zusätzlich wurde eine persönliche Haftung von Führungskräften eingeführt.